Agregar datos Microsoft Sentinel con reglas de resumen

Use reglas de resumen en Microsoft Sentinel para agregar grandes conjuntos de datos en segundo plano para una experiencia de operaciones de seguridad más fluida en todos los niveles de registro. Los datos de resumen se precompilan en tablas de registro personalizadas y proporcionan un rendimiento rápido de las consultas, incluidas las consultas que se ejecutan en datos derivados de niveles de registro de bajo costo. Las reglas de resumen pueden ayudar a optimizar los datos para:

• Análisis e informes, especialmente en grandes conjuntos de datos y intervalos de tiempo, según sea necesario para el análisis de seguridad e incidentes, informes empresariales mensuales o anuales, etc.
• Ahorro de costos en los registros detallados, que puede conservar durante el mínimo o el tiempo que necesite en un nivel de registro menos costoso, y enviar como datos resumidos solo a una tabla de Analytics para su análisis e informes.
• Seguridad y privacidad de los datos, quitando o ofuscando detalles de privacidad en datos resumidos que se pueden compartir y limitando el acceso a tablas con datos sin procesar.

Microsoft Sentinel almacena los resultados de la regla de resumen en tablas personalizadas con el plan de datos de Analytics. Para obtener más información sobre los planes de datos y los costos de almacenamiento, consulte Planes de tabla de registro.

En este artículo se explica cómo crear reglas de resumen o implementar plantillas de reglas de resumen pregeneradas en Microsoft Sentinel y se proporcionan ejemplos de escenarios comunes para usar reglas de resumen.

Importante

Después del 31 de marzo de 2027, Microsoft Sentinel ya no se admitirá en el Azure Portal y solo estará disponible en el portal de Microsoft Defender. Todos los clientes que usen Microsoft Sentinel en el Azure Portal se redirigirán al portal de Defender y solo usarán Microsoft Sentinel en el portal de Defender. A partir de julio de 2025, muchos clientes nuevos se incorporan y redirigen automáticamente al portal de Defender.

Si sigue usando Microsoft Sentinel en el Azure Portal, le recomendamos que empiece a planear la transición al portal de Defender para garantizar una transición sin problemas y aprovechar al máximo la experiencia de operaciones de seguridad unificadas que ofrece Microsoft Defender. Para obtener más información, vea It's Time to Move: Retireing Microsoft Sentinel's Azure Portal for greater security .net

Requisitos previos

Para crear reglas de resumen en Microsoft Sentinel:

• Microsoft Sentinel debe habilitarse en al menos un área de trabajo y consumir registros de forma activa.

• Debe poder acceder a Microsoft Sentinel con permisos de colaborador de Microsoft Sentinel. Para obtener más información, vea Roles y permisos en Microsoft Sentinel.

• Para crear reglas de resumen en el portal de Microsoft Defender, primero debe incorporar el área de trabajo al portal de Defender. Para obtener más información, consulte Conexión de Microsoft Sentinel al portal de Microsoft Defender.

Se recomienda experimentar con la consulta de regla de resumen en la página Registros antes de crear la regla. Compruebe que la consulta no alcanza o está cerca del límite de consulta y compruebe que la consulta genera el esquema previsto y los resultados esperados. Si la consulta está cerca de los límites de consulta, considere la posibilidad de usar una más binSize pequeña para procesar menos datos por ubicación. También puede modificar la consulta para devolver menos registros o quitar campos con mayor volumen.

Creación de una nueva regla de resumen

Cree una nueva regla de resumen para agregar un conjunto grande específico de datos en una tabla dinámica. Configure la frecuencia de la regla para determinar la frecuencia con la que se actualiza el conjunto de datos agregado a partir de los datos sin procesar.

1. Abra el Asistente para reglas de resumen:

   • En el portal de Defender, seleccione Microsoft Sentinel > reglas de resumen de configuración>.

   • En el Azure Portal, en el menú de navegación Microsoft Sentinel, en Configuración, seleccione Reglas de resumen. Por ejemplo:

     

2. Seleccione + Crear y escriba los detalles siguientes:

   • Nombre. Escriba un nombre significativo para la regla.

   • Descripción. Escriba una descripción opcional.

   • Tabla de destino. Defina la tabla de registro personalizada donde se agregan los datos:

     • Si selecciona Tabla de registro personalizada existente, seleccione la tabla que desea usar.

     • Si selecciona Nueva tabla de registro personalizada, escriba un nombre significativo para la tabla. El nombre completo de la tabla usa la sintaxis siguiente: <tableName>_CL.

3. Se recomienda habilitar la configuración de diagnóstico de SummaryLogs en el área de trabajo para obtener visibilidad de las ejecuciones y errores históricos. Si la configuración de diagnóstico de SummaryLogs no está habilitada, se le pedirá que las habilite en el área Configuración de diagnóstico .

   Si la configuración de diagnóstico de SummaryLogs ya está habilitada, pero quiere modificarla, seleccione Configurar opciones de diagnóstico avanzadas. Cuando vuelva a la página Asistente para reglas de resumen , asegúrese de seleccionar Actualizar para actualizar los detalles de la configuración.

   Importante

   La configuración de diagnóstico SummaryLogs tiene costos adicionales. Para obtener más información, consulte Configuración de diagnóstico en Azure Monitor.

4. Seleccione Siguiente: Establecer lógica >de resumen para continuar.

5. En la página Establecer lógica de resumen , escriba la consulta de resumen. Por ejemplo, para resumir los datos de Google Cloud Platform, es posible que quiera escribir:

   GCPAuditLogs
   | where ServiceName == 'pubsub.googleapis.com'
   | summarize count() by Severity
   

   Para obtener más información, consulte Escenarios de reglas de resumen de ejemplo y Lenguaje de consulta Kusto (KQL) en Azure Monitor.

6. Seleccione Vista previa de los resultados para mostrar un ejemplo de los datos que recopilaría con la consulta configurada.

7. En el área Programación de consultas , defina los detalles siguientes:

   • Frecuencia con la que desea que se ejecute la regla
   • Si desea que la regla se ejecute con algún tipo de retraso, en minutos
   • Cuando quiera que la regla empiece a ejecutarse

   Las horas definidas en la programación se basan en la columna de los timegenerated datos

8. Seleccione Siguiente: Revisar y crear >>Guardar para completar la regla de resumen.

Las reglas de resumen existentes se enumeran en la página Reglas de resumen , donde puede revisar el estado de la regla. Para cada regla, seleccione el menú de opciones al final de la fila para realizar cualquiera de las siguientes acciones:

• Vea los datos actuales de la regla en la página Registros , como si ejecutara la consulta inmediatamente.
• Ver el historial de ejecución de la regla seleccionada
• Deshabilite o habilite la regla.
• Editar la configuración de la regla

Para eliminar una regla, seleccione la fila de regla y, a continuación, seleccione Eliminar en la barra de herramientas de la parte superior de la página.

Nota:

Azure Monitor también admite la creación de reglas de resumen a través de la API o una plantilla de Azure Resource Monitor (ARM). Para obtener más información, consulte Creación o actualización de una regla de resumen.

Implementación de plantillas de reglas de resumen pregeneradas

Las plantillas de regla de resumen son reglas de resumen pregeneradas que se pueden implementar tal y como están o personalizarse según sus necesidades.

Para implementar una plantilla de regla de resumen:

1. Abra el centro de contenido y filtre El tipo de contenido por reglas de resumen para ver las plantillas de reglas de resumen disponibles.

   

2. Seleccione una plantilla de regla de resumen.

   Se abre un panel con información sobre la plantilla de regla de resumen que muestra campos como descripción, consulta de resumen y tabla de destino.

   

3. Seleccione Instalar para instalar la plantilla.

4. Seleccione la pestaña Plantillas en la página Reglas de resumen y seleccione la regla de resumen que instaló.

   

5. Seleccione Crear para abrir el Asistente para reglas de resumen, donde se rellenan previamente todos los campos.

6. Consulte el Asistente para reglas de resumen y seleccione Guardar para implementar la regla de resumen.

   Para obtener más información sobre el Asistente para reglas de resumen, consulte Creación de una nueva regla de resumen.

Ejemplo de escenarios de regla de resumen en Microsoft Sentinel

En esta sección se revisan los escenarios comunes para crear reglas de resumen en Microsoft Sentinel y nuestras recomendaciones sobre cómo configurar cada regla. Para obtener más información y ejemplos, consulte Resumen de conclusiones de datos sin procesar de una tabla auxiliar a una tabla de Analytics en Microsoft Sentinel y Orígenes de registro que se usarán para la ingesta de registros auxiliares.

Búsqueda rápida de una dirección IP malintencionada en el tráfico de red

Escenario: es un cazador de amenazas y uno de los objetivos de su equipo es identificar todas las instancias de cuando una dirección IP malintencionada interactuó en los registros de tráfico de red de un incidente activo en los últimos 90 días.

Desafío: Microsoft Sentinel actualmente ingiere varios terabytes de registros de red al día. Debe desplazarse a través de ellos rápidamente para encontrar coincidencias para la dirección IP malintencionada.

Solución: se recomienda usar reglas de resumen para hacer lo siguiente:

1. Cree un conjunto de datos de resumen para cada dirección IP relacionada con el incidente, incluidos , SourceIPDestinationIP, MaliciousIP, , RemoteIPy cada uno de los atributos importantes, como IPType, FirstTimeSeeny LastTimeSeen.

   El conjunto de datos de resumen permite buscar rápidamente una dirección IP específica y restringir el intervalo de tiempo en el que se encuentra la dirección IP. Puede hacerlo incluso cuando los eventos buscados se produjeron hace más de 90 días, lo que supera su período de retención del área de trabajo.

   En este ejemplo, configure el resumen para que se ejecute diariamente, de modo que la consulta agregue nuevos registros de resumen todos los días hasta que expire.

2. Cree una regla de análisis que se ejecute durante menos de dos minutos en el conjunto de datos de resumen, profundizando rápidamente en el intervalo de tiempo específico cuando la dirección IP malintencionada interactuó con la red de la empresa.

   Asegúrese de configurar intervalos de ejecución de hasta cinco minutos como mínimo para dar cabida a diferentes tamaños de carga de resumen. Esto garantiza que no haya ninguna pérdida incluso cuando haya un retraso en la ingesta de eventos.

   Por ejemplo:

   let csl_columnmatch=(column_name: string) {
   summarized_CommonSecurityLog
   | where isnotempty(column_name)
   | extend
       Date = format_datetime(TimeGenerated, "yyyy-MM-dd"),
       IPaddress = column_ifexists(column_name, ""),
       FieldName = column_name
   | extend IPType = iff(ipv4_is_private(IPaddress) == true, "Private", "Public")
   | where isnotempty(IPaddress)
   | project Date, TimeGenerated, IPaddress, FieldName, IPType, DeviceVendor
   | summarize count(), FirstTimeSeen = min(TimeGenerated), LastTimeSeen = min(TimeGenerated) by Date, IPaddress, FieldName, IPType, DeviceVendor
   };
   union csl_columnmatch("SourceIP")
       , csl_columnmatch("DestinationIP") 
       , csl_columnmatch("MaliciousIP")
       , csl_columnmatch("RemoteIP")
   // Further summarization can be done per IPaddress to remove duplicates per day on larger timeframe for the first run
   | summarize make_set(FieldName), make_set(DeviceVendor) by IPType, IPaddress
   

3. Ejecute una búsqueda o correlación posteriores con otros datos para completar el caso de ataque.

Generación de alertas sobre coincidencias de inteligencia sobre amenazas con datos de red

Genere alertas sobre las coincidencias de inteligencia sobre amenazas con datos de red ruidosos, de alto volumen y de bajo valor de seguridad.

Escenario: debe crear una regla de análisis para que los registros de firewall coincidan con los nombres de dominio del sistema que se han visitado con una lista de nombres de dominio de inteligencia sobre amenazas.

La mayoría de los orígenes de datos son registros sin procesar que son ruidosos y tienen un gran volumen, pero tienen un valor de seguridad menor, incluidas las direcciones IP, el tráfico Azure Firewall, el tráfico fortigado, etc. Hay un volumen total de aproximadamente 1 TB al día.

Desafío: La creación de reglas independientes requiere varias aplicaciones lógicas, lo que requiere costos y sobrecargas de instalación y mantenimiento adicionales.

Solución: se recomienda usar reglas de resumen para hacer lo siguiente:

1. Cree una regla de resumen:

   1. Amplíe la consulta para extraer campos clave, como la dirección de origen, la dirección de destino y el puerto de destino de la tabla CommonSecurityLog_CL , que es CommonSecurityLog con el plan auxiliar.

   2. Realice una búsqueda interna en los indicadores de inteligencia de amenazas activos para identificar las coincidencias con nuestra dirección de origen. Esto le permite hacer referencia cruzada a los datos con amenazas conocidas.

   3. Información relevante del proyecto, incluido el tiempo generado, el tipo de actividad y las direcciones IP de origen malintencionadas, junto con los detalles de destino. Establezca la frecuencia con la que desea que se ejecute la consulta y la tabla de destino, como MaliciousIPDetection . Los resultados de esta tabla se encuentran en el nivel analítico y se cobran en consecuencia.

2. Cree una alerta:

   Crear una regla de análisis en Microsoft Sentinel que alerta en función de los resultados de la tabla MaliciousIPDetection. Este paso es fundamental para la detección proactiva de amenazas y la respuesta a incidentes.

Regla de resumen de ejemplo:

CommonSecurityLog_CL​
| extend sourceAddress = tostring(parse_json(Message).sourceAddress), destinationAddress = tostring(parse_json(Message).destinationAddress), destinationPort = tostring(parse_json(Message).destinationPort)​
| lookup kind=inner (ThreatIntelligenceIndicator | where Active == true ) on $left.sourceAddress == $right.NetworkIP​
| project TimeGenerated, Activity, Message, DeviceVendor, DeviceProduct, sourceMaliciousIP =sourceAddress, destinationAddress, destinationPort

Contenido relacionado

• Agregar datos en el área de trabajo de Log Analytics con reglas de resumen
• Planear costos y comprender Microsoft Sentinel precios y facturación
• Orígenes de registro que se usarán para la ingesta de registros auxiliares
• Restricciones y limitaciones de reglas de resumen